Seguridad física en PA-RISC

Los sistemas de las series HP9000 incluyen un firmware muy similar a la OpenBoot PROM de las estaciones y servidores SPARC que se denomina PDC (Processor Dependent Code) y que implementa las funcionalidades dependientes del procesador; su función básica es, en el arranque de la máquina, inicializar el procesador y comprobar que su estado es correcto mediante unas pruebas llamadas POST (Power On Self Test). Si todo es satisfactorio el PDC carga el ISL (Initial System Loader) o IPL (Initial Program Loader) y le transfiere el control para que este pueda arrancar el sistema operativo.

Como en cualquier dispositivo hardware existen formas de interrumpir el proceso de arranque habitual para modificar su comportamiento; en concreto, en la familia HP9000 suele existir un intervalo de 10 segundos antes de cargar el ISL en el que sin más que pulsar la tecla ESC13.1 se puede acceder al menú de arranque del equipo y, desde este, definir dispositivos de arranque alternativos o interactuar con el ISL, por ejemplo para pasar un parámetro al kernel de HP-UX antes de cargarlo; decimos `suele existir' porque el intervalo durante el cual se puede interrumpir el autoarranque se respeta sólo si las variables autoboot y autosearch del ISL están activadas, ya que en caso contrario el sistema automáticamente accede al menú de arranque y no se inicia hasta que un operador no interactua con el mismo.

Si al interrumpir el proceso de arranque elegimos interactuar con el ISL llegamos a un prompt sencillo en el que podemos comenzar a introducir órdenes desde el cargador hpux, como `hpux -v', que muestra la versión del ISL o `hpux -iS', que inicia el operativo en modo monousuario:
Hard booted.

ISL Revision A.00.09  March 27, 1990

ISL> hpux -v
Secondary Loader 9000/700
Revision 1.1
@(#) Revision 1.1 Wed Dec 10 17:24:28 PST 1986

ISL>
Antes de acceder a este prompt podemos activar o resetar una variable denominada secure, que indica el modo de arranque seguro del equipo; si está activada no se podrá interactuar con el arranque del sistema, lo cual implica una protección relativa: un atacante situado delante del equipo lo tendrá más difícil para arrancar el sistema desde un dispositivo que no sea el estándar, o para iniciarlo en modo monousuario. El hecho de que esta protección sea relativa es lógico: si no fuera reversible, nunca nadie más podría modificar la secuencia de arranque del equipo; si aunque el modo de arranque seguro esté activado queremos o necesitamos interrumpir el arranque, no tenemos más que desconectar todos los dispositivos arrancables del equipo (discos, red, unidad de CD-ROM...), de forma que el arranque falle y se acceda al menú para poder resetear la variable secure.
© 2002 Antonio Villalón Huerta